Le sous-traitant : ses missions au titre de la protection des données personnelles

Afin de garantir la protection des données personnelles et la transparence dans leur traitement, le rôle du sous-traitant a lui aussi été renforcé par le RGPD.

Selon l'article 4§8 du RGPD, le sous-traitant est une personne physique ou morale, une autorité publique, un service ou un autre organisme, traitant des données pour le compte du responsable du traitement.

Exemples de sous-traitants selon la CNIL :

  • Les prestataires de services informatiques (hébergement, maintenance), agrégateurs de logiciels, sociétés de sécurité informatique, entreprises de service du numérique ;
  • Les agences de marketing ou de communication traitant de données personnelles pour le compte de clients ;
  • Tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d'un autre organisme.

Ainsi, au sein des EPLE, les fournisseurs de Pronote et de l'ENT (Environnement Numérique de Travail) sont des sous-traitants. De même, pour le serveur Kwartz, l'entreprise Iris Technologie est un sous-traitant.

          Les exigences du RGPD quant au sous-traitant

Pour le RGPD, le sous-traitant doit présenter des garanties suffisantes, notamment concernant ses connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles appropriées (article 28 RGPD).

Le sous-traitant peut lui-même recourir à un autre sous-traitant, à condition d'y être préalablement autorisé par écrit, de manière générale ou spéciale, par le responsable du traitement.

Le traitement par un sous-traitant doit être régi par un contrat ou un autre acte juridique, liant le sous-traitant au responsable du traitement, et précisant également l'objet, la durée, la nature et la finalité du traitement, le type de données et les catégories de données concernées, ainsi que les obligations et les droits du responsable du traitement.

Le contrat de sous-traitance doit prévoir plusieurs obligations pour le sous-traitant telles que le fait qu'il prenne toutes les mesures requises en vue de garantir la sécurité du traitement ou encore qu'il veille à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité (article 28 §3 du RGPD).

          Les relations sous-traitant / responsable du traitement

Le sous-traitant ne peut traiter les données personnelles auxquelles il a accès que sur instruction du responsable du traitement.

En vertu de l'article 28 §3 du RGPD, le sous-traitant doit aider le responsable du traitement à garantir le respect de ses obligations compte tenu de la nature du traitement et des informations à sa disposition.

Au titre du contrat le liant au responsable du traitement, le sous-traitant met à disposition de ce dernier toutes les informations nécessaires pour démontrer le respect des obligations prévues par le RGPD, et également pour permettre et contribuer à la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté (article 28 §3- h) du RGPD).

Si, selon le sous-traitant, une instruction constitue une violation du RGPD ou d'une disposition du droit européen ou national sur la protection des données, il en informe immédiatement le responsable du traitement.

Au regard de l'article 33 du RGPD, le sous-traitant doit notifier au responsable du traitement toute violation de données à caractère personnel, dans les meilleurs délais après en avoir pris connaissance.

Enfin, dans le cas où un sous-traitant vient à déterminer les finalités et les moyens d'un traitement, il est considéré comme un responsable du traitement en ce qui concerne ce traitement en particulier (article 28 §10 du RGPD).

          Sous-traitant et registre des activités

Le sous-traitant tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, sauf pour les entreprises ou organisation comptant moins de 250 employés (article 30 du RGPD).

Ce registre comprend les noms et coordonnées du ou des sous-traitants et de chaque responsable du traitement, voire du délégué à  la protection des données, les catégories de traitements effectués, les éventuels transferts de données vers un pays tiers ou à une organisation internationale et les documents attestant de l'existence de garanties appropriées, et enfin une description générale des mesures de sécurité techniques et organisationnelles, dans la mesure du possible.

En vertu de l'article 32 du RGPD, le sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité du traitement.

Tout comme le responsable du traitement, le sous-traitant coopère avec la CNIL dans l'exercice de ses missions, lorsque celle-ci en fait la demande (article 31 du RGPD)